Решение №5817/13.05.2021 по адм. д. №1721/2021 на ВАС, V о., докладвано от съдия Тинка Косева

РЕШЕНИЕ № 5817 София, 13.05.2021 В ИМЕТО НА НАРОДА

Върховният административен съд на Р. Б. - Пето отделение, в съдебно заседание на четвърти март в състав: ПРЕДСЕДАТЕЛ:А. Д. ЧЛЕНОВЕ:И. С. Т. К. при секретар Н. А. и с участието

на прокурора Момчил Тараланскиизслуша докладваното от съдиятаТ. К. по адм. дело № 1721/2021

Производството е по реда на чл. 208 и сл. от Административнопроцесуалния кодекс (АПК).

Образувано е по касационна жалба, подадена от М. Я., чрез пълномощник адв.С. Ю. срещу решение №7390 от 18.12.2020г., постановено по административно дело № 11177/2019 г. от Административен съд София-град, с което е отхвърлен предявеният от нея иск за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди, вследствие незаконосъобразно бездействие на Националната агенция за приходите, ведно със законната лихва, считано от 15.07.2019г. до окончателното изплащане на сумата. Твърди се, че решението е неправилно, поради нарушение на материалния закон, съществено нарушение на съдопроизводствените правила и необоснованост - касационни основания по чл. 209, т. 3 АПК. По подробно развити доводи в касационната жалба се иска отмяната му и постановяване на ново по съществото на спора, с което предявения от касаторката иск бъде уважен. Претендира присъждане на съдебно - деловодни разноски, съгласно приложен списък по чл.80 ГПК.

Ответникът по касационната жалба – Национална агенция за приходите (НАП), чрез процесуален представител в представен писмен отговор и в съдебно заседание, оспорва същата и моли съда да постанови решение, с което да я отхвърли като неоснователна. Претендира присъждане на юрисконсултско възнаграждение.

Прокурорът от Върховната административна прокуратура дава мотивирано заключение за основателност на касационната жалба и неправилност на постановеното решение.

Върховният административен съд, пето отделение, като прецени допустимостта на касационната жалба и наведените в нея отменителни касационни основания, съгласно чл.209 от АПК, намира че подадена в срока по чл.211, ал.1 АПК и от надлежна страна касационна жалба е процесуално допустима. Разгледана по същество, същата е основателна по следните съображения:

Предмет на разглеждане пред АССГ е предявен иск с правно основание чл.82, ал.1 от Регламент /ЕС/2016/679 на Европейския парламент и на Съвета, разгледан по реда на чл.203 от АПК във вр. чл.39, ал.2 от Закона за защита на личните данни и чл.1, ал.1 от Закона за отговорността на държавата за вреди, като се претендира обезщетение за неимуществени вреди в размер на 1000лв., настъпили от неправомерното бездействие на НАП да изпълни задължението си да защити по сигурен начин данните на ищцата като гражданин, станало причина да бъде допуснат пробив в информационната система на НАП, довело до публичното разкриване на личните данни на ищцата.

За да се произнесе по спора, АССГ е приел за доказано твърдяното от ищцата незаконосъобразно бездействие от страна на ответника - НАП по предприемане на необходимите и ефективни действия, произтичащи от разпоредбата на чл.59, ал.1 от ЗЗЛД и чл.24 и чл.32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016г., относно защитата на физическите лица във връзка с обработването на личните данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (ОРЗД). Цитираните разпоредби изискват от администратора на лични данни, какъвто е НАП по смисъла на чл.4, т.7 от ОРЗД, да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на личните данни се извършва в съответствие с разпоредбите на ОРЗД, като аналогични разпоредби се съдържат и в Закона за защита на личните данни. Съдът е приел за общоизвестен фактът за оповестена на 15.07.2019г. от страна на медиите хакерска атака, при която от електронните масиви на НАП неправомерно е била изтеглена информация с голям обем, съдържаща лични данни на множество български граждани, поради което според съдът е налице противоправно деяние. Според АССГ именно факта на изтеклата информация от сървърите на НАП, вследствие неоторизиран достъп, безспорно сочи на противоправно бездействие на ответника да изпълни произтичащи от Регламента и закона задължения да осигури достатъчна надеждност и сигурност на информационната си система, за да защити физическите лица във връзка с обработването на личните им данни по см. на §1, т.4 от ДР на ЗЗЛД, вр. с чл.4, т.2 от Регламент (ЕС) 2016/679, в т. ч. правото им на защита на личните данни. Според съдът, фактът че е извършена хакерска атака, с която е пробита информационната система на НАП, безспорно доказва, че не са предприети подходящи технически и организационни мерки за защита на обработването на личните данни на ищцата, което е достатъчно да бъде направен извод за незаконосъобразно бездействие на НАП. Предвид горното, съдът е счел, че е налице първата предпоставка за ангажиране отговорността на НАП, представляваща незаконосъобразно бездействие по предприемане на необходимите ефективни действия, произтичащи от чл.59, ал.1 ЗЗЛД и чл.24 и чл.32 от ОРЗД /ЕС/ 2016/679 на Европейския парламент и на Съвета от 27.04.2016г. задължения.

Недоказани според съда обаче са останали твърденията на ищцата за претърпени неимуществени вреди, изразявящи се в притеснение и стрес от изтеклите данни, станали достъпни вследствие на т. нар. хакерска атака и причинно - следствената връзка между тях. От показанията на разпитания по делото свидетел и другите доказателства по делото, съдът е приел за недоказано реалното настъпване на конкретни неимуществени вреди. Изложени са съображения за недоказаност на факта, как установения неправомерен достъп до базата данни на НАП и публичното им оповестяване се е отразил върху качеството на живот на ищцата, както и в поведението й.

Според съдът, за да се установи реално притеснение следва да са представени доказателства за наличните имоти и банкови сметки на ищцата, за които се страхува да не станат обект на престъпно посегателство, което в случая не е сторено. На последно място е прието от съда, че всички твърдени в исковата молба емоционални състояния, освен неподкрепени с доказателства по делото, противоречат на активното поведение на ищцата, която като е узнала неправомерното разкриване на личните й данни, не е положила усилия, за да установи какви конкретно лични данни са разкрити. Като е приел за недоказани настъпили в патримониума на ищцата неимуществени вреди и причинна връзка между незаконосъборазното бездействие на ответника и твърдените вреди, съдът е отхвърли предявения иск като неоснователен и недоказан.

Обжалваното решение е валидно и допустимо – постановено е от компетентен съд след предявен иск по реда на чл. 203, ал. 2 във вр. с ал. 1 АПК от лице, имащо право на защита по чл. 79, §. 1 от Регламент (ЕС) 2016/679 на Е. П. и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (Регламента), като съгласно § 2 на цитирания текст производствата се образуват пред съдилищата в държавата – членка, в която администраторът или обработващият лични данни има място на установяване. В тази насока е и разпоредбата на чл. 39 ЗЗЛД, предвиждаща, че при нарушаване на правата му по Регламента и по този закон, субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс, като в това производство субектът на данни (какъвто е ищеца) може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни.

В решението си първоинстанционният съд е изложил подробно установената с доказателства фактическа обстановка, но е формирал погрешни правни изводи при неправилно приложение на материалния закон.

От доказателствата по делото безспорно е установено, че правата на субекта на лични данни – ищцата по делото са били нарушени при обработката им от администратора НАП, който при неосигуряване на технически мерки, гарантиращи защитата на личните й данни е допуснал широкото им огласяване, при което Я. е изпитала притеснения свързани с евентуалното им неправомерно използване – възможни злоупотреби от финансов характер.

Изложеното обосновава извод за настъпило непозволено от ЗЗЛД и Регламента увреждане на ищцата, в качеството й на субект на лични данни от администратора на същите - неизпълнение на задълженията му посочени по-горе по чл. 24 от Регламента и чл. 59, ал. 1 ЗЗЛД, да предприеме подходящи технически мерки за защитата им, съобразени с отчитане естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, а още по-малко предвидените допълнителни такива в чл. 32 от Регламента, в случая настъпилите в правната сфера на ищеца неимуществени вреди произтичат от бездействието на администратора в тази насока. Като администратор на лични данни по смисъла на чл. 4, § 7 от Регламента при обработването на тези данни НАП е следвало да спазва принципите за законосъобразност и добросъвестност по чл. 5, § 1, б. „а“ и б. „е“ – същите да бъдат обработвани по начин, гарантиращ подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически и организационни мерки. В случая безспорно установения факт на изтекла информация от сървърите на НАП на 15.07.2019 г. в следствие на неоторизиран достъп безспорно обуславя извод за наличие на бездействие на НАП да осигури надеждност и сигурност на личните данни, при което в случая е осъществено нарушение на сигурността им по смисъла на чл. 4, §12 от Регламента. Обстоятелството, че е извършена хакерска атака – осъществен неправомерен достъп до информационната система на НАП обуславя еднозначен извод, че не са предприети необходимите технически мерки за защитата на личните данни на ищцата, тъй като ответникът в качеството му на администратор на лични данни има задължението периодично да преценява техническата надеждност и да осигури високо ниво на сигурност, а неизпълнението на това задължение води до извод, че противоправното му бездействие е довело до увреждане на лицата, чийто лични данни са обработвани от него.

Ето защо правилно в обжалваното решение е прието, че в случая е налице твърдяното от ищцата бездействие от страна на администратора на лични данни по отношение на осигуряване на подходящи и адекватни технически мерки за защитата на обработваните от него лични данни, неправилно искът е приет за неоснователен, предвид нормативно установеното правило, че всеки и длъжен да поправи вредите, които е причинил.

Настоящият състав намира, че в случая предявеният иск е такъв по чл. 82, § 1 от Регламента, който предвижда, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди и с оглед на установеното по-горе е основателен.

Неимуществените вреди са неизмерими с пари и затова следващото се за тях обезщетение, се определят на принципа на справедливостта.

Неоснователен е наведеният довод, че установените по делото като вид и интензитет неимуществени вреди, не следва да бъдат обезщетявани, тъй като не е установено по делото как установения неправомерен достъп се е отразил на качеството на живот на ищцата, както и до промяна в поведението й. Свидетелските показания сочат на реално претърпени болки и страдания, свързани с притеснения и реален страх от теглене на кредит от нейно име и заплаха от увреждане на имуществото й. Неправилна е преценката на АССГ за недоказаност на претърпени от ищцата вреди и реално притеснение, поради това, че не е представила по делото доказателства за налични имоти и банкови сметки, за които се страхува да не станат обект на престъпно посегателство. В случая е накърнено основно право на ищцата, като физическо лице при обработване на личните й данни от ответника като администратор - неприложени подходящи технически мерки за осигуряване ниво на сигурност, съобразени с риска, което е направило възможно пробива в информационните масиви на НАП, ищцата е изпитала неудобства, чувствала се е притеснена и несигурна. Накърнени са легитимните и очаквания спрямо държавата за сигурност в личната и имуществената й сфера, предвид общодостъпната информация за възможни злоупотреби с личните й данни в момента на разкриването им и за в бъдеще. По делото е разпитана свидетелката М. С., която е установила, че когато ищцата е разбрала от SMS от НАП за нерегламентиран достъп до личните й данни, без да са конкретизирани, тя се е притеснила, защото имала изтеглен кредит за закупуване на имот и с изтеклите данни някой да не изтегли кредит от нейно име. Съдът неправилно е приел, че при установяване на този вид обичайни неимуществени вреди следва да се изхожда само от формалните, външни доказателства и да се изисква формално пълно доказване на причинените неимуществени вреди, изразяващи се в притеснението от всевъзможни бъдещи евентуални злоупотреби с личните данни на ищцата, означава да се отрече необходимостта от защитата на обществените отношения, свързани с обработването на лични данни, дадена с Общия регламент и ЗЗЛД.

Необосновано и в противоречие с трайната съдебна практика в областта на непозволеното увреждане, АССГ приема, че изпитването на притеснения, тревога и безпокойство не представляват неимуществени вреди, които подлежат на обезщетение. Не е възможно да бъде споделено становището, че изпитването само на неприятни емоции от описания вид не е достатъчно, за да бъдат определени като неимуществени вреди, ако не са свързани с реален страх от реална заплаха от увреждане на имущество. Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз (Хартата/ХОПЕС) и член 16, параграф 1 от ДФЕС (Договора за фунцкиониране на Европейския съюз) (ДФЕС) предвиждат, че всеки има право на защита на личните му данни. Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от тяхното гражданство или местопребиваване, да са съобразени с техните основни права и свободи, и по-конкретно — с правото на защита на личните им данни. В този смисъл всяко нарушение спрямо основно право трябва да се разглежда като особено съществено. Причиняването на усещане за тревога от нарушената сигурността на защитимото благо (личните данни) е достатъчно, за да се ангажира отговорност на лицето, което има задължение да я гарантира и да не позволи нарушения на гарантирани от европейското право основни права.

В конкретния случай, предвид установените като вид и интензитет претърпени неимуществени вреди от ищцата, които следва да бъдат обезщетени, настоящият състав намира, че справедливият размер на дължимото обезщетение е в размер на 300 лв.

Така изложеното обосновава извод, че обжалваното решение е неправилно и следва да бъде отменено, вместо което следва да бъде постановено ново, с което НАП в качеството й на администратор на лични данни следва да бъде осъдена да заплати на М. Я. обезщетение за нанесени неимуществени вреди в размер на 300 лв. на основание чл. 82, ал. 1 и ал. 2 от Регламента, а предявеният иск за разликата над 300 лв. до пълния му предявен размер от 1000 лв. следва да бъде отхвърлен като неоснователен и недоказан.

При този изход на делото и при своевременно направено искане за присъждане на деловодни разноски администрацията на ответника следва да бъде осъдена да заплати на ищеца, съобразно уважената част на иска деловодни разноски в размер на 4,50 лева, представляващи съответната част на заплатената от него държавна такса общо в размер на 15 лв. – 10 лв. за първа инстанция и 5 лева за касационната инстанция, а на адвокат С. Ю. – възнаграждение в размер на 90 лв., представляваща съответната част, съобразно уважената част от иска от възнаграждението, определено по реда на чл. 8, ал. 1, т. 2 от Наредба №1 от 09.07.2004 за минималните размери на адвокатските възнаграждения.

По изложените съображения и на основание чл. 221, ал. 2 АПК, Върховният административен съд, Пето отделение

РЕШИ:

ОТМЕНЯ решение № 7390 от 18.12.2020г., постановено по административно дело № 11177/2019 г. от Административен съд София-град, вместо което ПОСТАНОВЯВА:

ОСЪЖДА Националната агенция за приходите да заплати на М. Я., с [ЕГН] на основание чл. 82, ал. 1 от Регламент (ЕС) 2016/679 на Е. П. и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) обезщетение в размер на 300 ( триста) лева.

ОТХВЪРЛЯ предявения от М. Я. иск за разликата над уважения до пълния му предявен размер от 1000 лв. като неоснователен.

ОСЪЖДА Националната агенция за приходите да заплати на М. Я., с [ЕГН] деловодни разноски в размер на 4,50 (четири лева и петдесет стотинки) лева.

ОСЪЖДА Националната агенция за приходите да заплати на адвокат С. С. – Ю., гр.София, [улица], хонорар в размер на 90 (деветдесет) лева.

Решението е окончателно.

Вярно с оригинала, ПРЕДСЕДАТЕЛ:/п/ Анна Димитрова

секретар: ЧЛЕНОВЕ:/п/ Илиана Славовска

/п/ Тинка Косева

Дело
  • Тинка Косева - докладчик
  • Анна Димитрова - председател
  • Илиана Славовска - член
Дело: 1721/2021
Вид дело: Касационно административно дело
Отделение: Пето отделение
Страни:
Достъпно за абонати.
Цитирани ЮЛ:
Достъпно за абонати.
Ключови думи
право на есинформационно праволични даннисписък на разноските
Цитирани разпоредби
чл. 208 АПКчл. 209, т. 3 АПКчл. 80 ГПКчл. 211, ал. 1 АПКчл. 203 АПКчл. 203, ал. 2 ЗЗЛДчл. 59, ал. 1 ЗЗЛДчл. 4, т. 7 Регламент (ЕС) 2016/679§ 1, т. 4 ЗЗЛДчл. 24 Регламент (ЕС) 2016/679чл. 203, ал. 2 АПКчл. 79 Регламент (ЕС) 2016/679чл. 39 ЗЗЛДчл. 16 ДФЕСчл. 221, ал. 2 АПКчл. 82, ал. 1 Регламент (ЕС) 2016/679
Информация за акта
Маркиране
Зареждане ...
Зареждане...